Image default
Security

Hacker vaza credenciais de mais de 500.000 servidores e dispositivos IoT

Credenciais (usuários e senhas) vazadas na Internet não são novidade e ocorre com uma certa frequência. A bola da vez é um hacker que vazou recentemente uma extensa lista contendo credenciais de acesso ao serviço Telnet de mais de 515 mil servidores, roteadores e dispositivos IoT (Internet of Things ou Internet das Coisas).

Hacker vaza credenciais de mais de 500 mil servidores, roteadores e dispositivos IoT
Hacker vaza credenciais de mais de 500.000 servidores e dispositivos IoT | Conteúdo de um arquivo com os endereços IP, porta, usuário e senha | Fonte: https://www.zdnet.com/article/hacker-leaks-passwords-for-more-than-500000-servers-routers-and-iot-devices/

A lista, que foi publicada em um conhecido fórum de hackers, inclui o endereço IP de cada equipamento, além de um nome de usuário e senha para o serviço de Telnet. Este serviço trata-se de um protocolo inseguro utilizado para administração remota de servidores/dispositivos conectados à Internet.

Conforme contato realizado com alguns especialistas em segurança pelo site ZDNet esta semana, e uma declaração do próprio hacker que vazou as credenciais, a lista foi criada ao verificar toda a Internet em busca de dispositivos que estejam com a porta tcp/23 do serviço de Telnet aberta para a Internet. O hacker tentou utilizar nomes de usuário e senhas padrão de fábrica ou combinações personalizadas, mas fáceis de serem adivinhadas.

Estas listas, chamadas de “bot lists”, são comuns em uma operação de botnets de dispositivos IoT. Os hackers realizam uma varredura na Internet com o objetivo de criar estas listas para depois se conectar nos dispositivos e instalar malware.

Normalmente estas listas são mantidas em sigilo, embora algumas tenham sido vazadas na Internet há um tempo atrás, como a lista de 33 mil credenciais Telnet de roteadores domésticos que vazou em agosto de 2017. Este vazamento é conhecido como o maior vazamento de senhas de Telnet conhecido até o momento.

O VAZAMENTO DAS CREDENCIAIS OCORREU PELO OPERADOR DO SERVIÇO DE DDOS

Conforme foi apurado pelo site ZDNet, a lista foi vazada pelo mantenedor de um serviço de DDoS (DdoS booter).

Quando questionado o motivo de ter vazado a lista de credenciais, o hacker disse que havia atualizado seu serviço DDoS para um novo modelo que dependa do aluguel de servidores de alto desempenho a partir de provedores de serviços de nuvem, em vez de somente trabalhar com as botnets IoT.

Hacker vaza credenciais de mais de 500.000 servidores e dispositivos IoT
Hacker vaza credenciais de mais de 500.000 servidores e dispositivos IoT | Lista de arquivos | Fonte: https://www.zdnet.com/article/hacker-leaks-passwords-for-more-than-500000-servers-routers-and-iot-devices/

Todas as listas que o hacker vazou são datadas de outubro a novembro de 2019. Alguns dos dispositivos possivelmente estão utilizando endereços IPs ou logins diferentes

O site ZDNet não utilizou nenhuma credencial de usuário e senha para acessar os dispositivos, já que isso serial ilegal né? De qualquer forma, muitas destas credenciais possivelmente ainda são válidas.

Utilizando mecanismos específicos de pesquisa como o BinaryEdge e o conhecido Shodan, o ZDNet identificou dispositivos em todo o mundo. Alguns estavam localizados em redes de provedores de serviço de Internet conhecidos (indicando que eram rotadores domésticos ou dispositivos IoT), mas outros dispositivos estavam localizados nas redes dos principais provedores de serviços de nuvem

O PERIGO PERMANECE

Um especialista em segurança de IoT (que não quis se identificar) disso ao site ZDNet que, mesmo que algumas credenciais da lista não sejam mais válidas pelo fato das senhas ou os IP terem sido alterados, as listas são incrivelmente úteis para um hacker qualificado.

Dispositivos configurados incorretamente não encontram-se espalhados de uma forma tão organizada, mas geralmente são agrupados na rede um único ISP (Internet Service Provider) devido a equipe desta empresa ter configurado incorretamente ao implantá-los em suas respectivas bases de clientes.

Um invasor pode utilizar os endereços IP incluídos nas listas para determinar o provedor de serviços e assim verificar novamente a rede do provedor para atualizar a lista com os endereços IP mais recentes.

É importante salientar que o site ZDNet compartilhou a lista apenas com pesquisadores de segurança confiáveis que se ofereceram para entrar em contato O PERIGO PERMANECEe notificar os ISPs e proprietários dos servidores afetados.

Fonte:

https://www.zdnet.com/article/hacker-leaks-passwords-for-more-than-500000-servers-routers-and-iot-devices/

Posts similares

Empresa de Bitcoin fecha as portas após ser hackeada pela segunda vez

O Analista

Instale a versão 7.60 do Nmap no Ubuntu e família

O Analista

Crie scripts NSE para o Nmap utilizando o Halcyon IDE

O Analista